Je ne sais pas si on va arriver à se comprendre...
bon déjà, quand je dis connexion locale j'entends connexion au réseau local : 192.168.0.0 et non connexion sur l'hôte local (dans ce cas là j'emploierai localhost).
Si je dis connexions locales c'est par opposition à connexions distantes.
Maintenant mon GUI, de base, et par sécurité pour ceux qui n'y connaissent rien, si tu ne fais que donner ton IP publique et le port associé et que tu créés les fichiers de configuration, alors je créé automatiquement :
- une règle de ban inversé HFS \127.0.0.1,
- limite l'écoute d'HFS à cette IP sur le port interne choisi (44300 dans ton exemple).
Ce qui empêche toute connexion directe à HFS sans passer par localhost:44300 ou ses assimilés (loopback, 127.0.0.1). Se connecter directement à HFS induit le protocole HTTP.
De fait, la connexion en HTTP est impossible ailleurs que sur la machine hôte d'HFS.
Donc de base, mon GUI empêche toute connexion depuis un autre poste du réseau local en HTTP (de même pour le distant bien sûr).
Également de base avec mon GUI, Stunnel écoute toutes les IP (0.0.0.0), qu'elles soient locales ou distantes.
Ainsi il est possible de se connecter en HTTPS depuis une machine distante (avec l'IP publique du serveur HTTP(S)) ou une machine du réseau local (avec l'IP locale du serveur).
ça c'était l'exacte configuration que je recherchais de base à créer pour un utilisateur néophyte.
----------------
Maintenant, la réponse à ton 1er quote :
Les connections provenant de l'extérieur passent par Stunnel en HTTPS, et les connections locales passent directement par HFS en HTTP, pour éviter l'encodage/décodage quand ce n'est pas nécessaire.
Avec mon GUI ce n'est pas le cas, les règles HFS de ban inversée et l'écoute uniquement sur 127.0.0.1:44300 (ou quelque soit ton adresse de loopback) font que ce quote n'est pas applicable. (Attention connexion locale = 192.168.0.* et non localhost)
-------------
Maintenant, tu m'as donné la solution même sans comprendre mon problème, règle HFS : écouter toutes les IP.
Ceci associé à la règle de ban inversée \127.0.0.1;192.168.0.* fera que mon quote sera possible.
C'est une erreur d'étourderie de ma part... je touchais aux règles de ban sans réfléchir aux à côtés...
Actuellement je n'ai donc plus ce problème
Mais j'en ai trouvé un autre pour pouvoir retarder la maj
(un p'tit souci pour insérer des lignes vierges dans le fichier pem...)
--------------
Par rapport à l'option local de Stunnel je n'arrive pas à te comprendre...
local = host
IP of the outgoing interface is used as source for remote connections. Use this option to bind a static local IP address, instead.
C'est bien grâce à ça que j'arrive à ne pas être d'accord ^^, j'engraisse le mot qui change le sens.
Moi je traduis comme ça :
Usuellement, Stunnel utilise l'IP de la carte réseau utilisée pour les connexions sortantes comme source pour les connexions distantes.
Utilisez cette option pour assigner un IP statique locale à la place.Donc pour moi cette option ne sert pas au but que tu lui alloues, et ne s'utilise probablement pas avec un joker (static local IP).
J'hésite entre 2 utilités :
- la machine qui fait serveur a 2 cartes réseaux et tu veux que seule l'une d'elle soit en contact avec Stunnel (pour clarifier le log ou simplement pour libérer ou exclure les autres cartes réseau),
- la machine qui fait serveur peut être appelée par son nom 'lamachineatoto', ou son IP '192.168.0.1', mais toi tu veux que seulement l'IP soit utilisée avec Stunnel, tu l'indiques alors avec
local = 192.168.0.1.
Bien sûr je ne dis pas que j'ai raison, mais les 'éventuellement' et les 'je pense' rendent mes explications incompréhensibles, déjà que sans...----------------------
Paramètre de Stunnel :
[https]
accept = 443 (Stunnel écoute tout sur ce port : équivalent à 0.0.0.0:443)
connect = 127.0.0.1:44300 (Stunnel communique avec HFS)
local = 192.168.1.* (une connexion locale en https pourra se faire avec un telle adresse : https://192.168.1.3/ ou https://192.168.1.3:PORT/ si un port autre que le 443 est utilisé).
Donc le serveur est joignable de l'extérieur uniquement en https avec : https://ip_publique/ ou https://domaine.truc par exemple.
Si tu
accept sur toutes les IP,
local,
utilisé dans le sens que tu lui prêtes, n'est pas nécessaire vu que 192.168.1.* font déjà partie de toutes les IP. Quant à la connexion via un autre port je ne vois pas l'utilité :/
J'ai cherché des exemples, mais en vain, et vue que je n'ai pas besoin de cette option pour arriver à mes fins je ne pousse pas plus pour le moment, mais ça m'intéresserai de connaitre sa véritable utilité.
---------------
Donc au cas où ça t'ai échappé dans ce pavé, je n'ai plus ce problème, il suffisait que je modifie la règle de ban (sur une seule ligne), et que je paramètre HFS pour qu'il écoute toutes les IP. La règle de ban limitant l'écoute aux IP du réseau local et au loopback.
Une grossière erreur de débutant, j'ai honte ^^"----------------
Bon, je vais modifier ça, tester et tenter de résoudre ce problème d'insertion de ligne blanche qui est apparu avec la maj des versions des logiciels employés et aussi peut-être avec win7... faut que je cherche plus avant pour comprendre ^^.
En attendant, merci à toi pour l'énergie que tu mets à m'aider à résoudre mes soucis !
edit :
J'utilise l'option local dans les paramètres avancés, au choix de l'utilisateur, et voici le but que je lui alloue :
Utile quand associé avec Adress2name. Demande à Stunnel d'attacher l'adresse que vous indiquez au lieu du localhost. Pour que ça fonctionne, il faut indiquer votre adresse de réseau local.Ce qui rejoindrait ma 2ème explication pour cette option 'local' ^^ (
la machine qui fait serveur peut être appelée par son nom 'lamachineatoto', ou son IP '192.168.0.1'...)